本发明专利技术提供了一种完全前向保密加密系统的降级监控系统、方法及介质,包括:请求模块和响应模块;所述请求模块包括通过完全前向保密方式加密的数据包输入反向代理设备;反向代理设备对完全前向保密数据包解密,输入交换机;交换机将普通加密的数据包转发到内部业务服务系统,并且将普通加密的数据包镜像复制后发送到监控服务器;所述相应模块包括内部业务服务系统向交换机发送响应数据包;交换机将响应数据包镜像复制后发送到监控服务器,并且将响应数据包转发到反向代理设备,反向代理设备对外回应完全前向保密方式加密的响应数据包。本发明专利技术提供一种非侵入式的方案,在不牺牲以完全前向保密方式对外提供服务的前提下,让网络业务监控能正常实施。务监控能正常实施。务监控能正常实施。
【技术实现步骤摘要】
完全前向保密加密系统的降级监控方法、系统及介质
[0001]本专利技术涉及网络业务监控
,具体地,涉及完全前向保密加密系统的降级监控方法、系统及介质。
技术介绍
[0002]网络业务监控指通过网络流量分析(包括但不限于抓包、解码、交易关联、指标统计、告警等手段),识别业务信息,进行可用性和安全性监控。
[0003]网络业务监控有着非常重要的意义:1)流量可视化,建立业务基线,提供阈值和基线告警,以保障业务稳定运行;2)识别请求中的攻击,加以安全法防范;3)防范内部机密数据被非法传输到外网。
[0004]随着用户对安全性要求的不断提高,用户业务系统逐渐从普通非对称加密的方式迁移到完全前向保密(Perfect Forward Secrecy,PFS)的加密方式。之前的将内部业务服务私钥部署在监控服务器进行解密监控的方式,遇到完全前向保密的加密方式将无法完成解密,从而无法完成网络业务监控。
[0005]本专利技术提供一种加密降级监控的方法,使得用户业务系统对外以完全前向保密的方式对外服务,但内部降级为普通加密(或不加密)的方式以同时进行业务网络流量的解密监控。
[0006]专利文献US20180062854A1,该专利需要使用专用的硬件。解密监控方经授权后获取硬件设备中保存的pfs交换过程中的临时密钥来完成解密。保存通讯方密钥交换过程中的临时密钥这一行为,弱化了pfs本身的安全性。即外部监控者在获取专用硬件中的密钥后,可解密之前捕获的流量,使得前向保密失效。
[0007]针上述现有技术中的缺陷,本专利技术要解决的技术问题体现在以下几点:
[0008]1)完全前向保密(perfect forward secrecy)加密方式的通讯,因为pfs交换密钥的过程中会使用临时生成的密钥对,无法通过简单地在监控服务器部署私钥的方式来解密。
[0009]2)在业务系统中注入密钥截取程序有一定的风险:比如注入的程序不稳定,影响业务系统正常运行。
技术实现思路
[0010]针对现有技术中的缺陷,本专利技术的目的是提供一种完全前向保密加密系统的降级监控系统、方法及介质。
[0011]根据本专利技术提供的一种完全前向保密加密系统的降级监控系统,包括:请求模块和响应模块;
[0012]所述请求模块包括通过完全前向保密方式加密的数据包输入反向代理设备;反向代理设备对完全前向保密数据包解密,输入交换机;交换机将普通加密的数据包转发到内部业务服务系统,并且将普通加密的数据包镜像复制后发送到监控服务器;
[0013]所述相应模块包括内部业务服务系统向交换机发送响应数据包;交换机将响应数据包镜像复制后发送到监控服务器,并且将响应数据包转发到反向代理设备,反向代理设备对外回应完全前向保密方式加密的响应数据包。
[0014]优选地,所述反向代理设备对外以完全前向保密的加密方式部署,包括DHE和ECDHE类的密钥交换加密套件。
[0015]优选地,所述反向代理设备对完全前向保密数据包解密后进行普通加密,将普通加密的数据包输入交换机。
[0016]优选地,所述内部业务服务系统以普通加密的方式向交换机发送响应数据包。
[0017]根据本专利技术提供的一种完全前向保密加密系统的降级监控方法,包括:
[0018]步骤M1:通过完全前向保密方式加密的数据包输入反向代理设备;反向代理设备对完全前向保密数据包解密,输入交换机;交换机将普通加密的数据包转发到内部业务服务系统,并且将普通加密的数据包镜像复制后发送到监控服务器;
[0019]步骤M2:内部业务服务系统向交换机发送响应数据包;交换机将响应数据包镜像复制后发送到监控服务器,并且将响应数据包转发到反向代理设备,反向代理设备对外回应完全前向保密方式加密的响应数据包。
[0020]优选地,所述反向代理设备对外以完全前向保密的加密方式部署,包括DHE和ECDHE类的密钥交换加密套件。
[0021]优选地,所述反向代理设备对完全前向保密数据包解密后进行普通加密,将普通加密的数据包输入交换机。
[0022]优选地,所述内部业务服务系统以普通加密的方式向交换机发送响应数据包。
[0023]根据本专利技术提供的一种存储有计算机程序的计算机可读存储介质,所述计算机程序被处理器执行时实现上述所述的方法的步骤。
[0024]与现有技术相比,本专利技术具有如下的有益效果:
[0025]1、本专利技术提供一种非侵入式的方案,无须在内部业务服务器上部署密钥截取类的程序,在不牺牲以完全前向保密方式对外提供服务的前提下,让网络业务监控能正常实施;
[0026]2、本专利技术完全前向保密加密系统的降级监控方法:无需专用硬件,在前端反向代理设备上部署通用DHE、ECDHE加密套件即可。解密监控方通过部署与在业务服务器中相同的密钥来完成解密。弱化了内部服务的加密安全性,但对外服务的pfs安全性没有任何弱化,外部监控者即使获得业务服务器私钥也无法解密之前捕获的流量。
附图说明
[0027]通过阅读参照以下附图对非限制性实施例所作的详细描述,本专利技术的其它特征、目的和优点将会变得更明显:
[0028]图1为完全前向保密加密系统的降级监控方法请求流程图;
[0029]图2为完全前向保密加密系统的降级监控系统请求流程系统图;
[0030]图3为完全前向保密加密系统的降级监控方法响应流程系统图;
[0031]图4为完全前向保密加密系统的降级监控系统响应流程系统图。
具体实施方式
[0032]下面结合具体实施例对本专利技术进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本专利技术,但不以任何形式限制本专利技术。应当指出的是,对本领域的普通技术人员来说,在不脱离本专利技术构思的前提下,还可以做出若干变化和改进。这些都属于本专利技术的保护范围。
[0033]实施例1
[0034]根据本专利技术提供的一种完全前向保密加密系统的降级监控系统,包括:请求模块和响应模块;
[0035]所述请求模块包括通过完全前向保密方式加密的数据包输入反向代理设备;反向代理设备对完全前向保密数据包解密,输入交换机;交换机将普通加密的数据包转发到内部业务服务系统,并且将普通加密的数据包镜像复制后发送到监控服务器;
[0036]所述相应模块包括内部业务服务系统向交换机发送响应数据包;交换机将响应数据包镜像复制后发送到监控服务器,并且将响应数据包转发到反向代理设备,反向代理设备对外回应完全前向保密方式加密的响应数据包。
[0037]具体地,所述反向代理设备对外以完全前向保密的加密方式部署,包括DHE和ECDHE类的密钥交换加密套件。
[0038]具体地,所述反向代理设备对完全前向保密数据包解密后进行普通加密,将普通加密的数据包输入交换机。
[0039]具体地,所述内部业务服务系统以普通加密的方式向交换机发送响应数据包。
[0040]根据本专利技术提供的一种完全前向本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种完全前向保密加密系统的降级监控系统,其特征在于,包括:请求模块和响应模块;所述请求模块包括通过完全前向保密方式加密的数据包输入反向代理设备;反向代理设备对完全前向保密数据包解密,输入交换机;交换机将普通加密的数据包转发到内部业务服务系统,并且将普通加密的数据包镜像复制后发送到监控服务器;所述相应模块包括内部业务服务系统向交换机发送响应数据包;交换机将响应数据包镜像复制后发送到监控服务器,并且将响应数据包转发到反向代理设备,反向代理设备对外回应完全前向保密方式加密的响应数据包。2.根据权利要求1所述的完全前向保密加密系统的降级监控系统,其特征在于,所述反向代理设备对外以完全前向保密的加密方式部署,包括DHE和ECDHE类的密钥交换加密套件。3.根据权利要求1所述的完全前向保密加密系统的降级监控系统,其特征在于,所述反向代理设备对完全前向保密数据包解密后进行普通加密,将普通加密的数据包输入交换机。4.根据权利要求1所述的完全前向保密加密系统的降级监控系统,其特征在于,所述内部业务服务系统以普通加密的方式向交换机发送响应数据包。5.一种完全前向保密加密系统的降级监控方法,其特征在于,...
【专利技术属性】
技术研发人员:唐俊杰,蔡晓华,杨光辉,
申请(专利权)人:上海天旦网络科技发展有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。